La campaña de malware Stark#Mule se dirige a los coreanos y utiliza documentos del ejército de EE. UU.

Una campaña de malware en idioma coreano conocida como Stark#Mule se dirige a las víctimas que utilizan documentos de reclutamiento militar de EE. UU. como señuelos y luego ejecutan malware creado desde sitios web de comercio electrónico coreanos legítimos pero comprometidos.

La empresa de seguridad Securonix descubrió la campaña de ataque Stark#Mule, que, según dijo, permite a los actores de amenazas disfrazarse en medio del tráfico normal del sitio web.

La campaña parece estar dirigida a las víctimas de habla coreana en Corea del Sur, lo que indica un posible origen del ataque en la vecina Corea del Norte.

Una de las tácticas utilizadas es el envío de correos electrónicos de phishing dirigidos escritos en coreano, que arrojan documentos que parecen legítimos en un archivo zip con referencias al reclutamiento y Asuntos de mano de obra y reservas recursos incluidos en los documentos.

Los atacantes han configurado un sistema complejo que les permite hacerse pasar por visitantes legítimos del sitio web, lo que dificulta la detección cuando transmiten malware y se apoderan de la máquina de la víctima.

También emplean materiales engañosos que pretenden ofrecer información sobre el ejército de los EE. UU. y el reclutamiento militar, al igual que los honeypots.

Al engañar a los receptores para que abran los documentos, el virus se ejecuta sin querer. La última etapa involucra una infección difícil que se comunica a través de HTTP y se incrusta en la computadora de la víctima, lo que dificulta encontrarla y eliminarla.

“Parece que están apuntando a un grupo en particular, lo que sugiere que el esfuerzo puede estar relacionado con Corea del Norte, con énfasis en las víctimas de habla coreana”, dice Zac Warren, asesor jefe de seguridad, EMEA, en Tanium. “Esto plantea la posibilidad de ciberataques o espionaje patrocinados por el estado”.

Stark#Mule también puede haber puesto sus manos sobre un posible día cero o al menos una variante de una vulnerabilidad conocida de Microsoft Office, lo que permite a los actores de amenazas afianzarse en el sistema objetivo simplemente haciendo que el usuario objetivo abra el archivo adjunto.

Oleg Kolesnikov, vicepresidente de investigación de amenazas, seguridad cibernética de Securonix, dice que, según la experiencia previa y algunos de los indicadores actuales que ha visto, existe una buena posibilidad de que la amenaza se origine en Corea del Norte.

“Sin embargo, el trabajo sobre la atribución final aún está en progreso”, dice. “Una de las cosas que lo hace destacar son los intentos de usar documentos relacionados con el ejército de EE. UU. para atraer a las víctimas, así como ejecutar malware de sitios web coreanos legítimos y comprometidos”.

Agrega que la evaluación de Securonix del nivel de sofisticación de la cadena de ataque es medio y señala que estos ataques se alinean con actividades pasadas de grupos norcoreanos típicos como APT37, con Corea del Sur y sus funcionarios gubernamentales como objetivos principales.

“El método inicial de implementación de malware es relativamente trivial”, dice. "Las cargas útiles posteriores observadas parecen ser bastante únicas y relativamente bien ofuscadas".

Warren dice que debido a su metodología avanzada, estrategias astutas, objetivos precisos, sospecha de participación estatal y difícil persistencia del virus, Stark#Mule es "absolutamente significativo".

Éxito a través de la ingeniería social

Mayuresh Dani, gerente de investigación de amenazas en Qualys, señala que eludir los controles del sistema, la evasión al mezclarse con el tráfico de comercio electrónico legítimo y obtener el control total sobre un objetivo designado, sin ser detectado, hacen que esta amenaza sea notable. 

“La ingeniería social siempre ha sido el objetivo más fácil en una cadena de ataque. Cuando mezclas la rivalidad política que conduce a la curiosidad a esto, tienes una receta perfecta para el compromiso”, dice.

Mike Parkin, ingeniero técnico sénior de Vulcan Cyber, está de acuerdo en que un ataque de ingeniería social exitoso requiere un buen gancho.

“Aquí, parece que el actor de amenazas ha logrado crear temas que son lo suficientemente interesantes para que sus objetivos muerdan el anzuelo”, dice. “Muestra el conocimiento que tiene el atacante de su objetivo y lo que probablemente despierte su interés”.

Agrega que Corea del Norte es una de varias naciones conocidas por desdibujar las líneas entre la guerra cibernética, el espionaje cibernético y la actividad delictiva cibernética.

“Dada la situación geopolítica, los ataques como este son una forma en que pueden arremeter para promover su agenda política sin correr un riesgo grave de que se convierta en una guerra real”, dice Parkin. 

Una guerra cibernética hace estragos en un país dividido

Corea del Norte y Corea del Sur han estado históricamente en desacuerdo desde su separación; cualquier información que le dé ventaja a la otra parte siempre es bienvenida.

Actualmente, Corea del Norte está intensificando la ofensiva en el mundo físico probando misiles balísticos y también está tratando de hacer lo mismo. en el mundo digital.

“Como tal, si bien el origen de un ataque es relevante, los esfuerzos de seguridad cibernética deben centrarse en la detección general de amenazas, la preparación para responder y la implementación de las mejores prácticas para protegerse contra una amplia gama de amenazas potenciales, independientemente de su origen”, dice Dani. 

Tal como él lo ve, el ejército de EE. UU. colaborará con sus estados socios, incluidas otras agencias gubernamentales, aliados internacionales y organizaciones del sector privado, para compartir información de inteligencia sobre amenazas relacionadas con Stark#Mule y posibles acciones correctivas.

“Este enfoque colaborativo fortalecerá los esfuerzos generales de seguridad cibernética y es crucial para fomentar la cooperación internacional en seguridad cibernética”, señala. “La TI permite que otros países y organizaciones mejoren sus defensas y se preparen para posibles ataques, lo que lleva a una respuesta global más coordinada a las ciberamenazas”.

El grupo de amenazas persistentes avanzadas (APT) Lazarus patrocinado por el estado de Corea del Norte está de vuelta con otra estafa de suplantación de identidad, esta vez haciéndose pasar por desarrolladores o reclutadores con cuentas legítimas de GitHub o redes sociales.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
• Fuente: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents